«Los ciberataques son cada vez más personalizados»

Laura del Pino es la responsable de garantizar la ciberseguridad en una entidad financiera de la talla de BBVA en una época marcada por una gran transformación digital a nivel global que también ha traído nuevas formas de peligros y amenazas para todos los usuarios.

¿Cómo entienden la ciberseguridad en una entidad financiera como es BBVA?

La ciberseguridad es una prioridad estratégica para garantizar tanto el servicio a los clientes, como la protección de los datos y sistemas y las capacidades de recuperación ante cualquier ataque. Los principales elementos del enfoque de la ciberseguridad en BBVA consideramos que son cuatro. En primer lugar la protección end-to-end de los procesos de negocio y de la privacidad de la información, seguido del principio de seguridad y privacidad desde el diseño, considerando los procesos, las personas y las tecnologías. En tercer y cuarto lugar destacaríamos la formación y concienciación en ciberseguridad, tanto de nuestros empleados como de nuestros clientes y contar con un gran equipo humano de profesionales cualificados.

¿Cuáles son las amenazas a las que se enfrenta en ciberseguridad el sistema financiero?

Las amenazas en el mundo digital son, en cierto modo, una evolución de los riesgos en el mundo físico. El phishing, smishing o vishing son las técnicas de ingeniería social que los ciberdelincuentes utilizan para intentar engañar a las personas a través de correo electrónico, mensajes de texto o por teléfono. Se hacen pasar por empresas conocidas (de transporte, de suministro, bancos), por la administración pública, etc. para ganarse la confianza de los usuarios y conseguir que proporcionen algún tipo de información confidencial, como claves bancarias, o que descarguen archivos maliciosos que buscan tomar el control de los dispositivos. Conocer este tipo de engaños y saber cómo protegerse de ellos es fundamental para evitar ser víctima de un fraude.

¿Cuáles son los grandes retos en relación con la ciberseguridad de las organizaciones?

La pandemia y la transformación digital acelerada han supuesto la aparición de nuevos riesgos y desafíos para las empresas, entre los que se podrían destacar los relacionados con la seguridad en el teletrabajo o en los entornos cloud. Estas nuevas formas de trabajo suponen un aumento de la superficie de exposición al riesgo y un mayor campo de juego para los ciberdelincuentes. Los ciberataques son cada vez más complejos y personalizados. Nos enfrentamos a rivales muy motivados y bien entrenados. Por lo tanto, la estrategia tiene que estar enfocada en la prevención. Conocer los riesgos, estar mejor preparados para detectarlos y ser más rápidos en la respuesta para poder minimizar los impactos en caso de sufrir un ciberataque son los elementos clave de la estrategia de ciberseguridad. Las empresas mejor preparadas para afrontar los riesgos de ciberseguridad tendrán más oportunidades de sobrevivir en el mundo digital.

¿Son la concienciación y la educación de usuarios y profesionales los grandes retos en materia de ciberseguridad de una entidad como BBVA?

La formación y concienciación en ciberseguridad es fundamental para BBVA, porque las personas somos la primera línea de defensa y una parte esencial en la prevención. Durante los dos últimos años se ha formado en seguridad a más de 60.000 empleados de todo el grupo BBVA, con un enfoque que va más allá del ámbito de trabajo, porque todos los conocimientos y hábitos de comportamiento seguro sirven también en el entorno personal del empleado y le ayudan a protegerse. Esta misma filosofía también la estamos aplicando con nuestros clientes para ayudarles a detectar posibles fraudes en el ámbito digital. Para ello, realizamos acciones de concienciación por diferentes canales: publicación de contenidos en la aplicación de BBVA y en el canal web, envío de correos electrónicos y organización de webinars con gran participación y valoración por parte de los clientes.

¿Es cierto que aunque los bancos reciben más ataques que otras empresas, los resisten mejor?

Los bancos, como otras empresas, son objeto de ciberataques pero no diría que es una cuestión enfocada en mayor medida en el mundo financiero. Por el contrario, los bancos llevamos años preparándonos para combatir a los ciberdelincuentes y estamos preparados y permanentemente en alerta. En el caso de BBVA tenemos claro que la ciberseguridad es una prioridad y la protección de nuestros activos y de nuestros clientes constituye una parte fundamental de la estrategia. Otras empresas que han llegado más tarde a la digitalización quizás no tienen tanta experiencia, en algunos casos por falta de recursos y en otros porque no lo tienen en cuenta. Esto les hace estar más expuestos y menos preparados a la hora de afrontar un ciberataque.

¿Cómo crea BBVA una experiencia segura y sencilla para sus clientes?

Los clientes demandan propuestas de valor más digitales, sencillas, personalizadas y, por supuesto, seguras. Solicitan una mejor experiencia, pero también quieren sentir que pueden confiar en el banco para hacer sus operaciones de forma segura. La seguridad tiene que ser una palanca para el negocio y viceversa. Un ejemplo para lograr este objetivo es el acceso a la aplicación y la firma de operaciones bancarias con biometría, permitiendo usar la huella dactilar o el reconocimiento facial para acceder a la aplicación y realizar transacciones financieras. Esta funcionalidad, disponible ya para los clientes, aporta sencillez, rapidez y seguridad.

Otro ejemplo es la Tarjeta Aqua, la primera tarjeta que no presenta el número impreso, (PAN) ni la fecha de caducidad. Además, por primera vez, el código de verificación (CVV) es dinámico y cambia cada cinco minutos, lo que permite disponer de mayor seguridad en todas las operaciones online ¿Cómo atrae y retiene el talento BBVA de los profesionales especialistas en ciberseguridad cuando es un perfil altamente demandado por las empresas y, sin embargo, hay un claro déficit de estos profesionales?

En la actualidad, nos estamos enfrentando a un crecimiento exponencial de la necesidad de contar con profesionales que atienden a la seguridad debido a la transformación digital. En esta nueva etapa de la ciberseguridad las personas son la clave para el éxito de las empresas. En BBVA tenemos la suerte de contar con un gran equipo de profesionales en el ámbito de ciberseguridad. El proyecto de ciberseguridad, su enfoque novedoso y la apuesta por una formación continua de calidad nos permite atraer y retener el mejor talento.

¿Es la nube la solución al problema de la ciberseguridad?

Trabajar en la nube aporta múltiples ventajas a las empresas: optimización de procesos, ahorro de costes, flexibilidad, escalabilidad, etc. Es una herramienta más que puede ser una palanca en la transformación digital y puede ser tan segura como un enfoque más tradicional 'on premise', pero la necesidad de proteger los procesos y los datos es la misma. Existen diferentes modalidades de nube (pública, privada e híbrida) y los modelos de gestión de seguridad son diferentes. Cada empresa tiene que evaluar cuál se adapta mejor a sus necesidades, según su negocio o sus proyectos, y evaluar los riesgos. Es importante seleccionar proveedores de nube que proporcionen las máximas garantías en cuanto a disponibilidad de los sistemas, cumplimiento de legislación, responsabilidad proactiva, etc.